Устали от сложных команд при настройке контроллера домена? Хотите освоить развёртывание ALD Pro 3.0 быстро и без головной боли? В этой статье я покажу, как полностью развернуть контроллер домена через удобный графический интерфейс, не прибегая к командной строке.
Никаких сложных скриптов и запутанных инструкций - только пошаговые действия в визуальном режиме, которые под силу даже начинающему системному администратору. Узнайте, как превратить процесс развёртывания контроллера домена в простую и понятную задачу, экономя время и нервы!
Подготовка сервера
1. В документации есть матрица версий ОС Astra Linux, проверяем по ней, что версия Вашей ОС подходит для развертывания контроллера домена ALD Pro 3.0. Уровень защищенности для контроллеров домена и серверов подсистем должен быть обязательно "Смоленск".
cat /etc/astra/build_version - смотрим версию ОС
sudo astra-modeswitch getname - смотрим уровень защищенности
sudo astra-modeswitch set 2 - если нужно увеличить уровень защищенности
2. Настраиваем сеть через NetworkManager. Не обязательно делать через него, но у меня хост с графикой, поэтому пусть будет NetworkManager.
Если мы для установки пакетов используем интернет-репозитории, но DNS указываем 77.88.8.8 или любой другой. Нажмите сохранить и перезапустите менеджер сетей, для этого достаточно выключить и включить его в меню.
После чего нужно командой ping dl.astralinux.ru проверить, что у Вас действительно есть интернет и то, что имена разрешаются в ip адреса.
Так же, проверку доступности репозиториев можно сделать из браузера, открыв страницу Яндекса.
3. Присваиваем FQDN имя хосту. Важно присвоить/изменить имя хосту до того, как Вы установите пакет aldpro-mp.
sudo hostnamectl set-hostname msk-dc-1.ald.mycompany.lan - устанавливаем имя хоста
Установка пакетов
Для установки пактов воспользуемся менеджером пакетов synaptic. Открываем меню пуск и в поиске введите synaptic:
Затем переходим в репозитории и добавляем репозитории ALD Pro и Astra Linux ветку frozen, остальные репозитории отключаем.
Для установки через synaptic добавляем следующие репозитории:
https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/repository-base/
1.7_x86-64
non-free contrib main
https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/repository-extended/
1.7_x86-64
non-free contrib main
https://dl.astralinux.ru/aldpro/frozen/01/3.0.0/
1.7_x86-64
base main
И нажать Обновить, чтобы обновить индексы пакетов:
Далее устанавливаем следующие пакеты: aldpro-mp, aldpro-gc, aldpro-syncer. Пакет aldpro-mp обязателен для установки, а остальные пакеты можно будет установить потом с помощью утилиты, я ставил их сразу. Для установки пакета, ищем его, нажав иконку Поиск и указываем имя пакета, затем нажимаем поиск:
В открывшемся списке находим нужные нам пакеты и отмечаем их к установке:
После того, как мы отметили нужные пакеты к установке нажимаем Применить (2 раза), чтобы запустить их установку:
Начнется загрузка пакетов:
После загрузки пакетов в окне Установка и удаление программ, разверните Подробнее и в открывшемся окне нажмите Enter для начала установки пакетов:
Сразу после установки пакетов контроллера домена рекомендуется удалить локатор библиотеки libkrb5 от службы winbind, который может приводить к значительным задержкам в работе Kerberos-аутентификации на контроллере домена. Сделать это можно следующей командой:
sudo rm /usr/lib/x86_64-linux-gnu/krb5/plugins/libkrb5/winbind_krb5_locator.so
Установка утилиты aldpro-dcpromo
Установим утилиту aldpro-dcpromo и ее зависимости. Саму утилиту и зависимости я заранее скачал из Личного кабинета в каталог Загрузки. Нужно присвоить права дискреционного доступа на выполнение для этих пакетов:
Для установки deb-пакетов инсталлера не обязательно менять права доступа на файлы и все можно сделать из графики просто двойным кликом.
Далее устанавливаем пакеты в определенной последовательности:
- astra-installer-framework
- astra-installer-modules
- aldpro-dcpromo
sudo apt install ./aldpro-dcpromo_X.X-X_amd64.deb
apt автоматически потянет зависимости, но если по какой-то причине этого не произойдет, то установите их вручную, вот список зависимостей:
python3 python3-tk python3-pil python3-pil.imagetk
Теперь можно запустить утилиту и продвигать контроллер домена:
При запуске утилиты потребуется указать пароль администратора, так как для запуска необходимы привилегии sudo:
Окно терминала закрывать не нужно, оно закроется автоматически, когда утилита завершит свою работу, но в процессе установки, она будет показывать важную информацию о прогрессе. Нажмите продолжить:
Моя система не соответствует минимальным требованиям (просто забыл добавить памяти на хост) и мне утилита сообщает об этом. Если Ваша система сильно отличается от минимальных требований, то установку нужно прервать и добавить на хост ресурсов. В моем случае разница несущественная и я нажал Игнорировать и продолжить.
На следующем шаге заполняем все данные, если не сделали это раньше. Пока Вы не заполните данные - утилита не даст перейти на следующий шаг:
На следующем шаге Вы можете установить модули глобального каталога и/или модуль синхронизации. Если бы я не установил эти пакеты (aldpro-gc, aldpro-syncer) ранее, то мог бы сделать это сейчас.
На этом шаге нужно придумать пароль для доменного администратора (валидаторы не дадут Вам указать слабый пароль) и нажать Продолжить:
Начнется установка, прогресс которой Вы сможете наблюдать на экране. Продолжительность продвижения может занять от 30 минут.
В случае успешной установки Вы увидите окно сообщающее об этом. Нажав в нем Завершить, закроется окно инсталлятора и автоматически закроется терминал на заднем плане.
После чего компьютер необходимо перезагрузить вручную.
Если во время установки произойдет какая-то ошибка, то появится окно ниже:
В этом окне нужно нажать ОК и система вернется в исходное состояние. Далее нужно перезагрузить компьютер, так как в ходе отката утилита отключает важные службы.
После перезагрузки Вы можете начать установку заново.
Если установка прошла успешно, то после перезагрузки необходимо проверить статус всех служб ALD Pro:
sudo aldproctl status
После перезагрузки измените настройки DNS сетевой карты, уберите 77.88.8.8 и укажите 127.0.0.1:
В конфигурационных файлах настройки после работы утилиты правильные:
Дополнительные настройки DNS
Утилита aldpro-dcpromo не настраивает DNS, поэтому это нужно сделать отдельно. В следующих версиях утилита будет автоматически отключать dnssec и включать рекурсивные запросы.
1. Отключить DNSSEC
в файле /etc/bind/ipa-options-ext.conf параметру dnssec-validation нужно присвоить значение no и для параметров allow-recursion и allow-query-cache установить значение any.
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
Проверяем конфигурационный файла bind9 после изменений и перезапускаем bind9 чтобы применить изменения:
sudo named-checkconf /etc/bind/named.conf
sudo systemctl restart bind9-pkcs11.service
2. Настройка перенаправителя
Запустите браузер и введите адрес сайта (у вас будет свой адрес): https://msk-dc-1.ald.mycompany.lan
В веб интерфейсе нужно добавить настройку глобального перенаправления на вкладке Роли и службы сайта - Служба разрешения имен - Глобальная конфигурация DNS. Рекомендуется установить адрес публичного DNS, например, от Яндекс 77.88.8.8, с политикой перенаправления «Только перенаправлять» или «Сначала перенаправлять». Затем нажать кнопку Сохранить в правом верхнем углу.
Первый контроллер домена ALD Pro развернут, в следующей статье посмотрим как с помощью графической утилиты ввести компьютер в домен.